Polityka i prawo
Ministerstwo Cyfryzacji: z zadowoleniem przyjmujemy rekomendacje UE dot. cyberbezpieczeństwa sieci 5G
26 marca br. Komisja Europejska wydała rekomendacje dotyczące cyberbezpieczeństwa sieci 5G. Tym samym potwierdzono, że kwestia zapewnienia bezpieczeństwa technologii 5G jest zadaniem dla całej wspólnoty europejskiej. Komisja będzie koordynować prace nad wypracowaniem wspólnych standardów odnośnie 5G.
- Przyjęliśmy Rekomendację z zadowoleniem oraz jednocześnie z satysfakcją, bo znalazły się tam przekazywane przez nas postulaty dotyczące certyfikacji, kontroli cyklu życia, wymiany informacji i doświadczeń między krajami i zamierzamy się do niej zastosować – zaznacza Karol Okoński, wiceminister cyfryzacji i Pełnomocnik Rządu ds. Cyberbezpieczeństwa. - Wielokrotnie powtarzaliśmy, że kwestia bezpieczeństwa sieci 5G powinna być rozstrzygnięta na poziomie Unii Europejskiej. Dlatego cieszymy się, że Komisja przejęła rolę koordynatora w tym procesie, gdyż jak zauważył wiceszef Komisji Europejskiej Andrus Ansip – odpowiedzialny za rynek cyfrowy – „czas ucieka”. Komisarz Andrus nawiązał w ten sposób do tego, że niektóre państwa UE przygotowują się już do przeprowadzenia aukcji, na których zostaną wyłonione podmioty odpowiedzialne za wdrożenie 5G – dodaje.
Podstawą zapewnienia bezpieczeństwa i stabilności sieci 5G jest przeprowadzenie odpowiedniej analizy ryzyka, co znajduje adekwatne umocowanie w dyrektywach telekomunikacyjnych (przede wszystkim 2002/21/EC), dyrektywie NIS, RODO i Akcie Cyberbezpieczeństwa. W kontekście Aktu Cyberbezpieczeństwa (który niebawem wejdzie w życie) KE zapowiedziała, że zwróci się do ENISA (Agencja UE ds. Bezpieczeństwa Sieci i Informacji) o rozpoczęcie prac nad opracowaniem programu certyfikacji dedykowanego zapewnieniu cyberbezpieczeństwa sieci 5G.
- W ramach oceny ryzyka powinniśmy uwzględniać zarówno aspekty techniczne (podatności, zapewnienie bezpiecznego łańcucha dostaw) jak i pozostałe, dotyczące aspektów prawnych oraz sposobu zarządzania po stronie potencjalnych dostawców; co do aspektów technicznych w jak największym stopniu powinna być wykorzystana certyfikacja – podkreśla Karol Okoński. W ocenie pełnomocnika rządu, trzeba zdawać sobie sprawę, że przygotowanie odpowiednich profili bezpieczeństwa oraz odpowiednich laboratoriów i procesów dla oceny urządzeń i oprogramowania dla sieci 5G będzie wymagać czasu, co nie pozwoli zastosować tego podejścia w krótkim terminie; to samo dotyczy Rozporządzenia dotyczącego screeningu inwestycji zagranicznych, które w pełni wejdzie w życie dopiero w listopadzie 2020
Już istniejące przepisy wynikające z Rozporządzeń i Dyrektyw, dotyczących sektora telekomunikacyjnego oraz cyberbezpieczeństwa należy wykorzystać w jak największym stopniu, jakkolwiek Polska rozważa dostosowanie krajowych przepisów by móc skuteczniej zarządzać cyberbezpieczeństwem infrastruktury krytycznej. Co istotne, w rekomendacjach podkreślono, że państwa członkowskie w dalszym ciągu mają prawo do wdrążania takich rozwiązań prawnych i technicznych, które są krytyczne z punktu widzenia bezpieczeństwa państwa.
- Popieramy decyzję Komisji, żeby w pełni korzystać z wiedzy i doświadczeń nagromadzonych w wyspecjalizowanych instytucjach i agencjach unijnych, takich ENISA, EUROPOL oraz wzajemnej koordynacji w ramach unijnych grup, jak BEREC (Grupa Europejskich Regulatorów Komunikacji Elektronicznej) oraz utworzonych na mocy Dyrektywy NIS: Grupy Współpracy oraz Sieć CSIRT – mówi wiceminister cyfryzacji.
Warto podkreślić, że Komisja natychmiast zaczęła wdrażać rekomendacje, o czym świadczy powołanie dedykowanego zespołu zadaniowego w Grupie Współpracy, który zajmie się wypracowaniem do końca 2019 r. wspólnych, unijnych mechanizmów w zakresie skutecznej identyfikacji środków służących zapewnieniu cyberbezpieczeństwa technologii 5G i ograniczenia ryzyk z tym związanych.
Wymaga to koordynacji na poziomie całej UE, ale jednocześnie sytuacja wyjściowa poszczególnych krajów (dostawcy w sieciach 4G, kalendarz aukcji na częstotliwości dla sieci 5G, gotowość i potencjał do przeprowadzenia certyfikacji, aktualne przepisy krajowe) różni się zasadniczo pomiędzy krajami – oznacza to, że założenia i minimalny oczekiwany poziom bezpieczeństwa powinien być maksymalnie wspólny w UE, ale podejmowane działania mogą się znacząco różnić; Polska kontynuuje analizę rozpoczętą w ubiegłym roku i po jej zakończeniu (w drugim kwartale br.), będzie podejmować działania doraźne zgodne z bieżącym stanem prawnym, jednocześnie proponując średnio i długoterminowe działania, będące zbieżne z rekomendacjami KE.
W tej kwestii niezwykle ważne są podane przez Komisję terminy na realizację poszczególnych zadań wynikających z rekomendacji. Każde państwo członkowskie jest zobowiązane przeprowadzić pełne oszacowanie ryzyka, na poziomie krajowym, związane z wprowadzeniem technologii 5G oraz zidentyfikować te elementy infrastruktury, które są kluczowe dla zapewnienia bezpieczeństwa 5G. Polska także musi dokonać przeglądu wymagań bezpieczeństwa i systemu zarządzania ryzykiem na szczeblu krajowym, tak aby wziąć pod uwagę możliwe zagrożenia związane z wprowadzeniem technologii 5G. Wszystkie państwa mają czas do 30 czerwca br. na dokonanie tych analiz. Kompletne analizy należy przesłać Komisji najpóźniej do 15 lipca br. Następnie na podstawie informacji uzyskanych od wszystkich państw członkowskich oraz po własnych analizach, Komisja wraz z ENISA przygotują do 1 października br. kompleksowy raport, w którym wskazane zostaną wszelkie ryzyka dla bezpieczeństwa europejskiego sektora cyfrowego, w szczególności sieci 5G.
Źródło: Ministerstwo Cyfryzacji